تمكين الحماية من استغلال

ينطبق على:

• Defender for Endpoint الخطة 2
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Microsoft Defender XDR

تلميح

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تساعد الحماية من الهجماتعلى الحماية من البرامج الضارة التي تستخدم الهجمات لإصابة الأجهزة والانتشار. تتكون الحماية من الهجمات من العديد من عوامل تخفيف المخاطر التي يمكن تطبيقها على نظام التشغيل أو التطبيقات الفردية.

هام

.NET 2.0 غير متوافق مع بعض إمكانيات الحماية من الهجمات، وتحديدا، تصفية عنوان التصدير (EAF) وتصفية عنوان الاستيراد (IAF). إذا قمت بتمكين .NET 2.0، فإن استخدام EAF وIAF غير معتمد.

يتم تضمين العديد من الميزات من مجموعة أدوات تجربة تخفيف المخاطر المحسنة (EMET) في الحماية من الهجمات.

يمكنك تمكين كل تخفيف من المخاطر بشكل منفصل باستخدام أي من هذه الأساليب:

• تطبيق أمن Windows
• Microsoft Intune
• إدارة الجهاز المحمول (MDM)
• Microsoft Configuration Manager
• نهج المجموعة
• PowerShell

يتم تكوين الحماية من الهجمات بشكل افتراضي في Windows 10 وWindows 11. يمكنك تعيين كل تخفيف للمخاطر إلى وضع تشغيل أو إيقاف تشغيل أو إلى قيمته الافتراضية. تحتوي بعض عوامل تخفيف المخاطر على المزيد من الخيارات. يمكنك تصدير هذه الإعدادات كملف XML ونشرها على أجهزة أخرى.

يمكنك أيضا تعيين عوامل تخفيف المخاطر إلى وضع التدقيق. يتيح لك وضع التدقيق اختبار كيفية عمل عوامل تخفيف المخاطر (ومراجعة الأحداث) دون التأثير على الاستخدام العادي للجهاز.

تطبيق أمن Windows

1. افتح تطبيق أمن Windows عن طريق تحديد أيقونة الدرع في شريط المهام، أو عن طريق البحث في قائمة البدء عن أمن.

2. حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد إعدادات الحماية من الهجمات.

3. انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تخفيف المخاطر عليه.

   • إذا كان التطبيق الذي تريد تكوينه مدرجا بالفعل، فحدده، ثم حدد تحرير.
   • إذا لم يكن التطبيق مدرجا، في أعلى القائمة، حدد إضافة برنامج لتخصيصه ثم اختر الطريقة التي تريد إضافة التطبيق بها.
   • استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحقه. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
   • استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.

4. بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. سيؤدي اختيار التدقيق إلى تطبيق تخفيف المخاطر في وضع التدقيق فقط. يتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق، أو إذا كنت بحاجة إلى إعادة تشغيل Windows.

5. كرر الخطوات من 3 إلى 4 لجميع التطبيقات وتخفيفات المخاطر التي تريد تكوينها.

6. ضمن قسم إعدادات النظام، ابحث عن تخفيف المخاطر الذي تريد تكوينه ثم حدد أحد الإعدادات التالية. تستخدم التطبيقات التي لم يتم تكوينها بشكل فردي في قسم إعدادات البرنامج الإعدادات التي تم تكوينها هنا.

   • قيد التشغيل بشكل افتراضي: يتم تمكين تخفيف مخاطر التطبيقات التي لا تحتوي على مجموعة تخفيف المخاطر هذه في قسم إعدادات البرنامج الخاص بالتطبيق
   • قيد إيقاف التشغيل بشكل افتراضي: يتم تعطيل تخفيف مخاطر التطبيقات التي لا تحتوي على مجموعة تخفيف المخاطر هذه في قسم إعدادات البرنامج الخاص بالتطبيق
   • استخدام الافتراضي: يتم تمكين تخفيف المخاطر أو تعطيله، استنادا إلى التكوين الافتراضي الذي تم إعداده بواسطة Windows 10 أو بواسطة تثبيت Windows 11؛ يتم دائما تحديد القيمة الافتراضية (تشغيل أو إيقاف تشغيل) إلى جانب تسمية استخدام الافتراضي لكل تخفيف للمخاطر

7. كرر الخطوة 6 لجميع عمليات تخفيف المخاطر على مستوى النظام التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.

إذا أضفت تطبيقا إلى قسم إعدادات البرنامج وقمت بتكوين إعدادات التخفيف الفردية هناك، احترامها فوق التكوين لنفس عوامل التخفيف المحددة في قسم إعدادات النظام . تساعد المصفوفة والأمثلة التالية على توضيح كيفية عمل الافتراضيات:

ممكّن في إعدادات البرنامج	ممكّن في إعدادات النظام	سلوك
نعم	لا	كما هو محدد في إعدادات البرنامج
نعم	نعم	كما هو محدد في إعدادات البرنامج
لا	نعم	كما هو محدد في إعدادات النظام
لا	لا	افتراضي كما هو محدد في استخدام الافتراضي

مثال 1: تقوم يقوم أشرف بتكوين "منع تنفيذ التعليمات البرمجية" في مقطع إعدادات النظام ليتم إيقاف تشغيله بشكل افتراضي

يضيف Mikael التطبيق test.exe إلى قسم إعدادات البرنامج. في خيارات هذا التطبيق، ضمن "منع تنفيذ التعليمات البرمجية" (DEP)، يقوم أشرف بتمكين خيار "تجاوز إعدادات النظام" وتعيين المفتاح إلى "تشغيل". لا توجد تطبيقات أخرى مدرجة في قسم إعدادات البرنامج.

النتيجة هي تمكين DEP ل test.exe فقط. لن يتم تطبيق DEP على جميع التطبيقات الأخرى.

مثال 2: تقوم ياسمين بتكوين "منع تنفيذ التعليمات البرمجية" في إعدادات النظام ليتم إيقاف تشغيلها بشكل افتراضي

تضيف Josie التطبيق test.exe إلى قسم إعدادات البرنامج. في الخيارات الخاصة بهذا التطبيق، ضمن "منع تنفيذ التعليمات البرمجية" (DEP)، تقوم ياسمين بتمكين خيار "تجاوز إعدادات النظام" وتعيين المفتاح إلى "تشغيل".

تقوم ياسمين أيضا بإضافة تطبيق miles.exe إلى قسم إعدادات البرنامج وتكوين حماية تدفق التحكّم (CFG) إلى تشغيل. لا تقوم ياسمين بتمكين خيار تجاوز إعدادات النظام لـ "منع تنفيذ التعليمات البرمجية" أو أي عمليات تخفيف مخاطر أخرى لهذا التطبيق.

النتيجة هي تمكين DEP ل test.exe. لن يتم تمكين DEP لأي تطبيق آخر، بما في ذلكmiles.exe. سيتم تمكين CFG ل miles.exe.

1. افتح تطبيق أمن Windows عن طريق تحديد أيقونة الدرع في شريط المهام أو البحث في قائمة البدء عن أمن Windows.

2. حدد لوحة التحكم في التطبيق والمستعرض (أو أيقونة التطبيق على شريط القوائم الأيمن) ثم حدد الحماية من الهجمات.

3. انتقل إلى إعدادات البرنامج واختر التطبيق الذي تريد تطبيق عوامل تخفيف المخاطر عليه.
   

   • إذا كان التطبيق الذي تريد تكوينه مدرجا بالفعل، فحدده، ثم حدد تحرير.
   • إذا لم يكن التطبيق مدرجا، في أعلى القائمة، حدد إضافة برنامج لتخصيصه ثم اختر الطريقة التي تريد إضافة التطبيق بها.
     
     • استخدم إضافة حسب اسم البرنامج لتطبيق تخفيف المخاطر على أي عملية قيد التشغيل بهذا الاسم. حدد ملفا بملحق. يمكنك إدخال مسار كامل لتقييد تخفيف مخاطر التطبيق الذي يحمل هذا الاسم فقط في هذا الموقع.
     • استخدم اختيار مسار ملف محدد لاستخدام نافذة منتقي ملفات مستكشف Windows قياسية للبحث عن الملف الذي تريده وتحديده.

4. بعد تحديد التطبيق، سترى قائمة بكل عوامل تخفيف المخاطر التي يمكن تطبيقها. سيؤدي اختيار التدقيق إلى تطبيق تخفيف المخاطر في وضع التدقيق فقط. سيتم إعلامك إذا كنت بحاجة إلى إعادة تشغيل العملية أو التطبيق، أو إذا كنت بحاجة إلى إعادة تشغيل Windows.

5. كرر الخطوات من 3 إلى 4 لجميع التطبيقات وتخفيفات المخاطر التي تريد تكوينها. حدد تطبيق عند الانتهاء من إعداد التكوين.

Intune

1. سجل الدخول إلى مدخل Azure وافتح Intune.

2. انتقل إلىملفات تعريف>تكوين تكوين> الجهازإنشاء ملف تعريف.

3. قم بتسمية ملف التعريف، واختر Windows 10 والإصدارات الأحدث، وحدد قوالب لنوع ملف التعريف واختر حماية نقطة النهاية ضمن اسم القالب.

   

4. حدد تكوين الحماية من>استغلال الحماية من الهجمات> ل Windows Defender.

5. تحميل ملف XML باستخدام إعدادات الحماية من الهجمات:

   

6. حدد موافق لحفظ كل ريشة مفتوحة، ثم اختر إنشاء.

7. حدد علامة تبويب تعيينات ملفات التعريف، وقم بتعيين النهج ل جميع المستخدمين وجميع الأجهزة، ثم حدد حفظ.

MDM

استخدم موفر خدمة تكوين (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings لتمكين عمليات تخفيف مخاطر الحماية من الهجمات أو تعطيلها أو لاستخدام وضع التدقيق.

Microsoft Configuration Manager

أمان نقطة النهاية

1. في Microsoft Configuration Manager، انتقل إلى Endpoint Security>Attack surface reduction.

2. حدد إنشاءالنظام الأساسيللنهج>، وبالنسبة إلى ملف التعريف، اختر الحماية من الهجمات. ثم حدد إنشاء.

3. حدد اسما ووصفا، ثم اختر التالي.

4. اختر تحديد ملف XML واستعرض وصولا إلى موقع ملف XML للحماية من الهجمات. حدد الملف، ثم اختر التالي.

5. تكوين علامات النطاقوالتعيينات إذا لزم الأمر.

6. ضمن مراجعة + إنشاء، راجع إعدادات التكوين، ثم اختر إنشاء.

الأصول والامتثال

1. في Microsoft Configuration Manager، انتقل إلى Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. حدد Home>Create Exploit Guard Policy.

3. حدد اسما ووصفا، وحدد الحماية من الهجمات، ثم اختر التالي.

4. استعرض وصولا إلى موقع ملف XML للحماية من الهجمات وحدد التالي.

5. راجع الإعدادات، ثم اخترالتالي لإنشاء النهج.

6. بعد إنشاء النهج، حدد إغلاق.

نهج المجموعة

1. على جهاز إدارة نهج المجموعة، افتح وحدة التحكم في إدارة نهج المجموعة وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وانقر فوق "تحرير".

2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

3. قم بتوسيع الشجرة إلى مكونات> WindowsWindows Defender Exploit Guard>Exploit Protection>استخدم مجموعة شائعة من إعدادات الحماية من الهجمات.

4. حدد ممكّن واكتب موقع ملف XML، ثم اختر موافق.

PowerShell

يمكنك استخدام فعل PowerShell Get أو Set مع ProcessMitigationcmdlet. سيؤدي استخدام Get إلى سرد حالة التكوين الحالية لأي عمليات تخفيف المخاطر التي تم تمكينها على الجهاز - أضف cmdlet وexe لـ -Name إلى التطبيق للاطلاع على عمليات تخفيف المخاطر لهذا التطبيق فقط:

Get-ProcessMitigation -Name processName.exe

هام

ستعرض عمليات تخفيف المخاطر على مستوى النظام التي لم يتم تكوينها حالة NOTSET.

• بالنسبة للإعدادات على مستوى النظام، يشير NOTSET إلى أنه قد تم تطبيق الإعداد الافتراضي لتخفيف المخاطر.
• بالنسبة للإعدادات على مستوى التطبيق، تشير NOTSET إلى أنه سيتم تطبيق الإعداد على مستوى النظام لتخفيف المخاطر. يمكن رؤية الإعداد الافتراضي لكل تخفيف مخاطر على مستوى النظام في أمن Windows.

استخدم Set لتكوين كل عملية لتخفيف المخاطر بالتنسيق التالي:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

المكان:

• <النطاق>:
  • -Name للإشارة إلى أنه يجب تطبيق عوامل تخفيف المخاطر على تطبيق معين. حدد ملف تنفيذ التطبيق بعد هذه العلامة.
    • -System للإشارة إلى ضرورة تطبيق تخفيف المخاطر على مستوى النظام
• <الإجراء>:
  • -Enable لتمكين تخفيف المخاطر
  • -Disable لتعطيل تخفيف المخاطر
• <التخفيف من المخاطر>:
  • cmdlet الخاص بتخفيف المخاطر مع أي خيارات فرعية (محاطة بمسافات). يتم فصل كل عامل تخفيف من المخاطر بفاصلة.

على سبيل المثال، لتمكين تخفيف مخاطر الحد من تنفيذ التعليمات البرمجية (DEP) مع محاكاة ATL thunk ولملف تنفيذي يسمى test.exe في المجلد C:\Apps\LOB\test، ولمنع ملف التنفيذ ذلك من إنشاء العمليات التابعة، يمكنك استخدام الأمر التالي:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

هام

افصل كل خيار من خيارات تخفيف المخاطر بفاصلة.

إذا أردت تطبيق ميزة "منع تنفيذ التعليمات البرمجية" على مستوى النظام، فستستخدم الأمر التالي:

Set-Processmitigation -System -Enable DEP

لتعطيل عوامل تخفيف المخاطر، يمكنك استبدال -Enable بـ -Disable. ومع ذلك، بالنسبة إلى عمليات تخفيف المخاطر على مستوى التطبيق، يفرض هذا الإجراء تعطيل تخفيف المخاطر لهذا التطبيق فقط.

إذا كنت بحاجة إلى إعادة تخفيف المخاطر إلى الإعداد الافتراضي للنظام، فستحتاج إلى تضمين -Remove cmdlet أيضا، كما هو الحال في المثال التالي:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

يسرد الجدول التالي عوامل تخفيف المخاطر الفردية ( والتدقيقات، عند توفرها) التي سيتم استخدامها مع معلمات cmdlet -Enable أو -Disable.

نوع تخفيف المخاطر	تنطبق على	كلمة أساسية لمعلمة cmdlet للتخفيف من المخاطر	معلمة cmdlet لوضع التدقيق
حماية تدفق التحكم (CFG)	النظام ومستوى التطبيق	CFG, StrictCFG, SuppressExports	التدقيق غير متوفر
منع تنفيذ التعليمات البرمجية (DEP)	النظام ومستوى التطبيق	DEP, EmulateAtlThunks	التدقيق غير متوفر
فرض إعادة الترتيب العشوائي للصور (ASLR إلزامي)	النظام ومستوى التطبيق	ForceRelocateImages	التدقيق غير متوفر
تخصيصات الذاكرة عشوائيا (ASLR من الأسفل إلى الأعلى)	النظام ومستوى التطبيق	BottomUp, HighEntropy	التدقيق غير متوفر
التحقق من صحة سلاسل الاستثناء (SEHOP)	النظام ومستوى التطبيق	SEHOP, SEHOPTelemetry	التدقيق غير متوفر
التحقق من صحة تكامل كومة الذاكرة المؤقتة	النظام ومستوى التطبيق	TerminateOnError	التدقيق غير متوفر
حماية التعليمات البرمجية العشوائية (ACG)	على مستوى التطبيق فقط	DynamicCode	AuditDynamicCode
حظر الصور منخفضة التكامل	على مستوى التطبيق فقط	BlockLowLabel	AuditImageLoad
حظر الصور البعيدة	على مستوى التطبيق فقط	BlockRemoteImages	التدقيق غير متوفر
حظر الخطوط غير الموثوقة	على مستوى التطبيق فقط	DisableNonSystemFonts	AuditFont, FontAuditOnly
حماية تكامل التعليمات البرمجية	على مستوى التطبيق فقط	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned، AuditStoreSigned
تعطيل نقاط الملحق	على مستوى التطبيق فقط	ExtensionPoint	التدقيق غير متوفر
تعطيل مكالمات نظام Win32k	على مستوى التطبيق فقط	DisableWin32kSystemCalls	AuditSystemCall
عدم السماح بالعمليات التابعة	على مستوى التطبيق فقط	DisallowChildProcessCreation	AuditChildProcess
تصدير عوامل تصفية العنوان (EAF)	على مستوى التطبيق فقط	EnableExportAddressFilterPlus، EnableExportAddressFilter[1]	التدقيق غير متوفر [2]
استيراد عوامل تصفية العنوان (IAF)	على مستوى التطبيق فقط	EnableImportAddressFilter	التدقيق غير متوفر [2]
محاكاة التنفيذ (SimExec)	على مستوى التطبيق فقط	EnableRopSimExec	التدقيق غير متوفر [2]
التحقق من صحة استدعاء واجهة برمجة التطبيقات API (CallerCheck)	على مستوى التطبيق فقط	EnableRopCallerCheck	التدقيق غير متوفر [2]
التحقق من صحة استخدام المؤشر	على مستوى التطبيق فقط	StrictHandle	التدقيق غير متوفر
التحقق من صحة تكامل تبعية الصورة	على مستوى التطبيق فقط	EnforceModuleDepencySigning	التدقيق غير متوفر
التحقق من صحة تكامل المكدس (StackPivot)	على مستوى التطبيق فقط	EnableRopStackPivot	التدقيق غير متوفر [2]

[1]: استخدم التنسيق التالي لتمكين وحدات EAF النمطية ل DLLs لعملية:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: لا يتوفر التدقيق لهذا التخفيف عبر أوامر PowerShell cmdlets.

تخصيص الإعلام

للحصول على معلومات حول تخصيص الإعلام عند تشغيل قاعدة وحظر تطبيق أو ملف، راجع أمن Windows.

راجع أيضًا

• تقييم الحماية من الهجمات
• تكوين عمليات تخفيف مخاطر الهجمات والتدقيق فيها
• استيراد تكوينات الحماية من الاستغلال وتصديرها ونشرها

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.